Domanda su GDRCD Avatar Flash

Domanda su GDRCD Avatar Flash postato il 08/10/2009 00:12:32 nel forum programmazione, gdrcd, grafica e open source e modificato il 08/10/2009 00:16:32 da ghennadi72

Domandina sull'ultimo pacchetto inserito nella sezione di GDRCD... ossia la possibilità di inserire file .swf nella scheda avatar.

Non é un po' rischioso?

Non conosco a fondo ActionScript e quale tipo di operazioni consenta sulla pagina da cui é richiamata l'animazione ma... aldilà delle operazioni *sulla* pagina da cui é richiamata, l'animazione può davvero contenere di tutto, rimandare a link esterni, richiamare a sua volta altre applicazioni flash.

E se non ricordo male può accedere direttamente agli eventuali frame richiamandoli direttamente tramite ID, controllandone quindi i contenuti.

Chiaro che il danno potenziale peggiore, mi sembra a carico dell'utente finale, quello che va a vedersi la scheda avatar, più che per i gestori..

Ma con tutto quello che sta scritto qui in materia, non é un po' una follia aprire le porte della propria land a tutto ciò solo per avere un avatar animato e con eventuale sfondo audio diverso dal "solito" midi?

ASoIaF - Il Grande Inverno GdR
https://www.ilgrandeinverno.it
Not a cosplay by chat

Pagine → 1 2

Offline blancks

08/10/2009 00:59:16

Decisamente, anzi a tal proposito linko un articolo di punto informatico.

http://punto-informatico.it/2162171/PI/News/flash-upnp-accoppiata-cracca-router.aspx

Dungeons & Dragons ↗
Neverwinter è il più grande mondo online su Dungeons & Dragons! Scegli il tuo eroe e combatti in un modo selvaggio!

Offline ghennadi72

08/10/2009 01:14:08 e modificato il 08/10/2009 01:21:10 da ghennadi72

Appena letto. Mi sorge una domanda spontanea.. viene effettuato qualche tipo di controllo sulle "espansioni" (a GDRCD piuttosto che a qualunque altro OS) prima che venga reso disponibile per il download?

No, perchè penso ai molti aspiranti gestori di land (soprattutto quelli che installano un gdrcd su altervista e dopo vengono a chiedere che differenza c'é tra GET e POST) attratti dall'idea di avere le fichissime animazioni flash negli avatar perchè "attirano l'utenza".

E ai potenziali danni (fossero anche solo "fastidi" di entità molto più risibile rispetto allo scenario gravissimo prospettato nell'articolo che hai linkato) per i malcapitati che finissero sulle loro land.

Dico, mi pare un po' contraddittorio trovare nella stessa categoria di download una serie di fix per chiudere le falle di GDRCD e trovarci poi un pacchetto che ne apre di nuove... :)

Non so, io almeno un "alert" nella pagina di download, sui rischi che si corrono a consentire l'inserimento di animazioni flash come avatar, ce lo metterei... qualcosa tipo "Se metti la nitrogliecerina nel serbatoio dello scooter rischi di esplodere".
Poi se uno proprio vuole scoattare con lo scooter alla nitroglicerina pensando di rimorchiare più facilmente, cavoli suoi, ma almeno lo sa... ;)

ASoIaF - Il Grande Inverno GdR
https://www.ilgrandeinverno.it
Not a cosplay by chat

Offline blancks

08/10/2009 01:26:19

No, nessun controllo.

Se scarico una patch nessuno mi assicura che essa sia sicura, funzioni bene o tenga conto di uno scenario generico di database (di modo da non essere incompatibile o addirittura essa stessa, fonte di incompatibilità).

Riguardo l'autore della patch, quella precedente per il MixPod, sempre sviluppata da lui, soffre di vulnerabilità in quanto non filtra i dati che dal client vengono passati al server.

Le patch per gdrcd sono, nella maggior parte dei casi, di uno sviluppo molto scialbo e assurdo che a volte sono le patch stesse a mettere a rischio la sicurezza, già molto labile, dell'os.

Eternal Fury ↗
Gioco di ruolo strategico a turni che combina azione SLG e interazioni classiche. In questo mondo fantastico, farai un viaggio pericoloso!

Offline ghennadi72

08/10/2009 01:40:33

Mh... non so se sia la sede adatta in cui parlarne ma... mi chiedo se non si dovrebbe fare qualcosa in proposito, almeno in casi tanto evidenti.

Questo sito (e il forum in particolare) offre moltissimo agli aspiranti gestori. Magari in alcuni casi li convince anche che é meglio lasciar perdere e documentarsi un po' prima di mettercisi.

Fondamentalmente l'aspirante gestore arriva, scarica un pacchetto, poi se non é pigro scarica anche le patch e le espansioni (perchè ormai da secoli é mentalmente abituato al concetto di "release" e si affida alla collaudata procedura istallzazione -> aggiornamenti -> patch) perchè non ha voglia/tempo di scrivere da zero un sistema gestionale di gioco, e decide di fidarsi di quello che trova qui.

Non nascondiamoci che tanti aprono una land perchè il gestore della tal "grande community" l'ha esiliato o perchè il master di gilda ha promosso Tizia solo perchè ha le tette e lui no.. allora cosa fa? Apre una sua land, senza avere la minima idea di quello a cui va incontro e soprattutto di quello che gli serve per installarla, mantenerla e gestirla.

Mi sembra un po' brutale (anche se divertente sotto certi aspetti) l'idea di stimolare gli aspiranti "programmatori" a documentarsi facendogli prendere capocciate contro il marciapiede... soprattutto perchè in questo caso non é l'ingenuo gestore ad andarci di mezzo, ma sono terze parti inconsapevoli, che magari entrano a giocare per vedere com'é stata realizzata la land e vanno incontro nel migliore dei casi a una montagna di spam, popup e redirect non richiesti, e nella peggiore delle ipotesi a una reimpostazione coatta del router di casa come spiegato nell'articolo.

Insomma, in certi casi non si potrebbero semplicemente rimuovere (ovviamente con le gentili spiegazioni di rito all'autore) le "espansioni" manifestamente disastrose?

ASoIaF - Il Grande Inverno GdR
https://www.ilgrandeinverno.it
Not a cosplay by chat

Offline blancks

08/10/2009 01:58:10 e modificato il 08/10/2009 01:59:17 da blancks

ghennadi72 ha scritto: perchè non ha voglia/tempo di scrivere da zero un sistema gestionale di gioco, e decide di fidarsi di quello che trova qui.

Senza aria di superiorità o cosa: diciamo che più che altro non sono capaci di sviluppare ciò che gli serve e nel 70% dei casi manca proprio la volontà di apprendere il know how minimo necessario.

soprattutto perchè in questo caso non é l'ingenuo gestore ad andarci di mezzo, ma sono terze parti inconsapevoli, che magari entrano a giocare per vedere com'é stata realizzata la land e vanno incontro nel migliore dei casi a una montagna di spam, popup e redirect non richiesti, e nella peggiore delle ipotesi a una reimpostazione coatta del router di casa come spiegato nell'articolo.

Precisamente, penso anche io.

Insomma, in certi casi non si potrebbero semplicemente rimuovere (ovviamente con le gentili spiegazioni di rito all'autore) le "espansioni" manifestamente disastrose?

Credo che questo tema sia già giunto alle orecchie di Gianluca, e se tali patch sono ancora disponibili probabilmente non rientra nella politica sua (e del portale) rimuoverle perchè potenzialmente dannose.

Eternal Fury ↗
Gioco di ruolo strategico a turni che combina azione SLG e interazioni classiche. In questo mondo fantastico, farai un viaggio pericoloso!

Offline gemini

08/10/2009 06:41:54

Probabilmente basterebbe mettere la possibilità di commentare i download (magari con le classiche stelline da 0 a 5), in modo che chi arriva per scaricare la patch possa vedere preventivamente il giudizio di chi è passato prima di lui.

"Ciò che accomuna le community dei giochi di ruolo online e le cittadine del primo medioevo è la cultura media delle loro popolazioni"

Offline dyrr

08/10/2009 10:08:31

vedo che quell'articolo di punto informatico è datato giovedì 17 gennaio 2008

Visto che l'articolo è vecchio di circa un anno e mezzo esiste qualche fonte più aggornata riguardo al problema, perchè ammetto che cercando con google ho trovato solo articoli di quel periodo

Exclusive Villa GdR ↗
Las Vegas, azzardo, vizi, soldi, intrighi... Più le sue luci sono scintillanti, più le sue ombre sono oscure. La città che non dorme mai, vi aspetta.

Offline blancks

08/10/2009 10:45:49

Lo so dyrr, di fatti non ho trovato neanch'io un articolo più recente al proposito, per cui ho preso quello derivante dalla fonte più affidabile che ho trovato.

Drakensang ↗
È giunta l'era di nuovi eroi! Prosegui anche tu online la saga di Drakensang, potenzia il tuo personaggio e diventa un eroe!

Offline dyrr

08/10/2009 11:01:01

blancks ha scritto: Lo so dyrr, di fatti non ho trovato neanch'io un articolo più recente al proposito, per cui ho preso quello derivante dalla fonte più affidabile che ho trovato.

non era una critica all'articolo vecchio sia chiaro ^^ la mia era solo curiosità proprio perchè non trovando fonti più recenti non sapevo se il problema fosse rientrato o no, mi piace tenermi aggiornato su quali possono esser ei problemi di sicurezza che possono essere provocati da del contenuto messo da un'utente

Mi viene in mente ora un altra domanda. anche la patch precedente anche se si affida ad un servizio esterno che offre un lettore flash per contenuti audio può avere lo stesso problema (sperando che il servizio o il player faccia un minimo di controllo sul file che va a leggere) visto che di solito la maggior parte dei player audio video in flash leggono la parte audio di file .swf e non ho ancora capito se far passare la lettura del file ttraverso un player .swf possa ovviare al problema della sicurezza o no

War Thunder ↗
Aviazione, veicoli corazzati e flotte militari della seconda guerra mondiale. Parteciperai a tutte le principali battaglie!

Offline blancks

08/10/2009 11:45:16 e modificato il 08/10/2009 11:46:14 da blancks

Prendendo come assunto fondamentale che il MixPod è sicuro come sito e non fornisce file .swf maligni, la patch è ancora ancora sicura.

Il problema di qualla patch sono i dati passati in maniera non filtrata, gli input non sono filtrati e anche se non si riesce ad eseguire una Injection, è abbastanza per un XSS.

Edit: si dyrr, avevo inteso anche a me sarebbe piaciuto trovare una fonte più aggiornata ma non ne ho trovate neanche in inglese (almenochè non so più come cercare su google b.b).